iptables заблокировать порт для недоверенных ip не работает.

0

1

Суть задачи открыть доступ к порту, определенным ip, остальным заблокировать. Использую цепочку правил:

iptables -I INPUT 1 -i eth0 -p tcp -s 192.168.60.1 --dport 7777 -j ACCEPT

iptables -I INPUT 2 -i eth0 -p tcp -s 192.168.61.180 --dport 7777 -j ACCEPT

iptables -I INPUT 3  -i eth0 -p tcp --dport 7777 -j REJECT --reject-with icmp-port-unreachable

и имею доступ к порту 7777 с любого ip. Что неправильно?

Ссылка

←	Диагностика и настройка сети в «BusyBox v1.17.1 (Debian 1:1.17.1-8) built-in shell (ash)»

аут-траф при открытом 22:tcp

→

а по умолчанию политика какая?

anonymous
(28.02.13 08:40:30 MSK)

Ответ на: комментарий от anonymous 28.02.13 08:40:30 MSK

iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 1326K packets, 263M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1259  154K ACCEPT     tcp  --  eth0   *       192.168.60.1         0.0.0.0/0           tcp dpt:7777 
2        0     0 ACCEPT     tcp  --  eth0   *       192.168.61.180       0.0.0.0/0           tcp dpt:7777 
3        0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:7777 reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 558K packets, 427M bytes)
num   pkts bytes target     prot opt in     out     source               destination

gema
(28.02.13 08:49:57 MSK) автор топика

Ответ на: комментарий от gema 28.02.13 08:49:57 MSK

iptables -P INPUT DROP
а то у тебя политика по умолчанию - принимать всё.

после этих действий надо перечислить всё, что разрешено

aol ★★★★★
(28.02.13 08:53:40 MSK)
Последнее исправление: aol 28.02.13 08:54:15 MSK (всего исправлений: 1)

Ответ на: комментарий от aol 28.02.13 08:53:40 MSK

iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 1334K packets, 265M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:7777 
2     1259  154K ACCEPT     tcp  --  eth0   *       192.168.60.1         0.0.0.0/0           tcp dpt:7777 
3        0     0 ACCEPT     tcp  --  eth0   *       192.168.61.180       0.0.0.0/0           tcp dpt:7777 
4        0     0 ACCEPT     tcp  --  eth0   *       192.168.63.8         0.0.0.0/0           tcp dpt:7777

Сначала DROP, а потом исключения ACCEPT?

gema
(28.02.13 09:03:29 MSK) автор топика

Ответ на: комментарий от gema 28.02.13 09:03:29 MSK

тебе надо сделать так, чтобы
Chain INPUT (policy DROP XXXXK packets, XXXM bytes)

для этого надо выполнить iptables -P INPUT DROP
остальное было верно в ОП

aol ★★★★★
(28.02.13 09:26:11 MSK)
Последнее исправление: aol 28.02.13 09:26:59 MSK (всего исправлений: 1)

Ответ на: комментарий от aol 28.02.13 09:26:11 MSK

не надо ему DROP, рановато ещё.

Что не работает-то?

anton_jugatsu ★★★★
(28.02.13 09:45:22 MSK)

Ответ на: комментарий от anton_jugatsu 28.02.13 09:45:22 MSK

Нету доступа к порту 7777, скажем с 63.8. А играет роль, что у меня 60.1 - прокси -сервер.

gema
(28.02.13 10:12:41 MSK) автор топика

Ответ на: комментарий от gema 28.02.13 10:12:41 MSK

ничего не понял

iptables-save

anton_jugatsu ★★★★
(28.02.13 10:20:20 MSK)

Ответ на: комментарий от anton_jugatsu 28.02.13 10:20:20 MSK

 # Generated by iptables-save v1.4.2 on Thu Feb 28 12:53:22 2013
*nat
:PREROUTING ACCEPT [295819:38121110]
:POSTROUTING ACCEPT [16132:934208]
:OUTPUT ACCEPT [16132:934208]
COMMIT
# Completed on Thu Feb 28 12:53:22 2013
# Generated by iptables-save v1.4.2 on Thu Feb 28 12:53:22 2013
*filter
:INPUT ACCEPT [1373017:271107298]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [570678:434457358]
-A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j DROP 
-A INPUT -s 192.168.60.1/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT 
-A INPUT -s 192.168.61.180/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT 
-A INPUT -s 192.168.63.8/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT 
COMMIT
# Completed on Thu Feb 28 12:53:22 2013

gema
(28.02.13 10:30:13 MSK) автор топика

Ответ на: комментарий от gema 28.02.13 10:30:13 MSK

-A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j DROP

перевожу

подключение с интерфейса eth0 с любого хоста на порт 7777 по протоколу TCP строго запрещено.

И это правило идёт первым.

anton_jugatsu ★★★★
(28.02.13 10:43:01 MSK)

Ответ на: комментарий от anton_jugatsu 28.02.13 10:43:01 MSK

Если я ставлю его на последнее место то доступ открыт для любого ip.

# Generated by iptables-save v1.4.2 on Thu Feb 28 13:10:14 2013
*nat
:PREROUTING ACCEPT [296955:38274900]
:POSTROUTING ACCEPT [16136:934706]
:OUTPUT ACCEPT [16136:934706]
COMMIT
# Completed on Thu Feb 28 13:10:14 2013
# Generated by iptables-save v1.4.2 on Thu Feb 28 13:10:14 2013
*filter
:INPUT ACCEPT [1379865:271841006]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [571133:434610084]
-A INPUT -s 192.168.60.1/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT 
-A INPUT -s 192.168.61.180/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT 
-A INPUT -s 192.168.63.8/32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j DROP 
COMMIT
# Completed on Thu Feb 28 13:10:14 2013

gema
(28.02.13 10:48:49 MSK) автор топика

Ответ на: комментарий от gema 28.02.13 10:48:49 MSK

Не верю.

anton_jugatsu ★★★★
(28.02.13 13:08:38 MSK)

Ответ на: комментарий от anton_jugatsu 28.02.13 13:08:38 MSK

Почему-то где-то блокируется, а где-то нет. Посмотрела на нескольких машинах. Вообще это у меня приложение под web. То есть я в браузере открываю http://192.168.60.30:7777.

gema
(28.02.13 14:13:29 MSK) автор топика

Ответ на: комментарий от anton_jugatsu 28.02.13 13:08:38 MSK

верь, политика ведь ACCEPT

gema, ставь политику в DROP

leader32 ★
(05.03.13 00:29:21 MSK)

Ответ на: комментарий от leader32 05.03.13 00:29:21 MSK

а DROP в конце, а?

anton_jugatsu ★★★★
(05.03.13 07:15:25 MSK)

Ссылка

Ответ на: комментарий от leader32 05.03.13 00:29:21 MSK

И золочить доступ по ssh, хватит ерунду советовать новичкам.

anton_jugatsu ★★★★
(05.03.13 07:19:26 MSK)

Ответ на: комментарий от anton_jugatsu 05.03.13 07:19:26 MSK

ерунду советовать

It's a paranoia

Если есть физический доступ, то не страшно

DROP в конце

о!

тогда, отлавливать tcpdump'ом, вместо DROP поставить LOG, анализировать

leader32 ★
(05.03.13 21:00:45 MSK)

Ответ на: комментарий от leader32 05.03.13 21:00:45 MSK

я не против дропа, наоборот только за - сам всегда так делаю, просто для новичков это лишний гемор, когда надо один порт фильтрануть.

anton_jugatsu ★★★★
(05.03.13 21:03:39 MSK)

Ответ на: комментарий от anton_jugatsu 05.03.13 21:03:39 MSK

ты прав, в ситуации ТС проще правилами заблокировать

подождем ТС, я тоже теперь не верю :)

leader32 ★
(05.03.13 21:06:01 MSK)

Ссылка

Ответ на: комментарий от gema 28.02.13 14:13:29 MSK

У тебя 60.1 - прокси сервер, через который ходят все компы в локалке и ты хочешь заблокировать доступ кому-то iptables'ом? Я правильно понял?

shell-script ★★★★★
(05.03.13 21:09:12 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Диагностика и настройка сети в «BusyBox v1.17.1 (Debian 1:1.17.1-8) built-in shell (ash)»

Admin

аут-траф при открытом 22:tcp

→

Похожие темы